Man will es sich gar nicht vorstellen, dass das Konto plötzlich leer geräumt ist. Der Anblick einer Null auf der Kontostandsanzeige dürfte sich so ähnlich anfühlen wie der Blick auf die Leere hinter der sperrangelweit offen stehenden Eingangstüre, wenn Einbrecher da waren.
Wie schwer es ist, sich gegen potenzielle Angreifer aus dem Netz zu wappnen, macht ein neuer Fall deutlich: Hacker haben aufgedeckt, dass 31 Banking-Apps in Deutschland eine gravierende Sicherheitslücke haben. Binnen weniger Minuten könnte das Geld Tausender Menschen verschwinden. Das Glück der Kunden: Die Hacker waren zwei IT-Sicherheitsforscher. Also zwei von den Guten. Sie kamen mit ihrer Aktion Kriminellen zuvor, die jederzeit dieselbe Lücke hätten ausnützen können.
Auch wenn in diesem Fall alles glimpflich ausgegangen ist, zeigt die Episode eine Facette von Cyberkriminalität, die bisher nur selten im Fokus der Aufmerksamkeit stand. Denn die Tatsache, dass es viele Banken gleichzeitig traf, macht klar, dass Cyberangriffe nicht mehr nur ein Risiko für einzelne Unternehmen oder deren Kunden sind. Angegriffen wurde ein Dienstleister, der von den Unternehmen engagiert wurde, um die Sicherheit der Systeme zu verbessern. Je größer diese Dienstleister werden, desto attraktiver werden sie als Ziel von Hackern. Und desto gefährlicher wird das Spiel. Denn Cyberattacken könnten das Finanzsystem und damit die gesamte Wirtschaft in eine nächste große Krise stürzen.
Cyberattacken sind zu einer der größten Gefahren für das gesamte Finanzsystem geworden
Vor diesen systemischen Risiken hat im August dieses Jahres bereits niemand Geringerer als der Internationale Währungsfonds gewarnt. Denn in kaum einer anderen Branche sind die Unternehmen weltweit so stark über IT-Netze und Geschäftsbeziehungen verbunden wie in der Finanzindustrie - die zurückliegende Krise hat das deutlich illustriert. Hinzu kommt, dass Banken - anders als etwa Google, Amazon und andere Digitalunternehmen - keine IT-Spezialisten sind. Ihre Expertise im Umgang mit Datensicherheit ist geringer als die der Internetkonzerne. Es ist daher für die Banken durchaus sinnvoll, dass sie sich Dienstleister ins Haus holen, die diese Kompetenz mitbringen. Doch das Problem daran ist, dass der Markt der Sicherheitsanbieter hoch konzentriert ist. Wer es schafft, deren Systeme zu knacken, dem steht gleich ein großer Teil der Finanzindustrie offen - wie es das vorliegende Beispiel im Kleinen belegt.
Nun mag man argumentieren, dass ein solcher Angriff, selbst wenn er erfolgreich verläuft, die Banken nicht in die Knie zwingen könnte, weil die meisten Häuser gegen solche Attacken versichert sind. Doch hier lauert schon die nächste Gefahr: Auch der Markt der Cyber-Versicherungen ist hoch konzentriert. In den USA vereinen die drei größten Anbieter mehr als 40 Prozent des Marktes auf sich. Die Parallele zum Beginn der Finanzkrise im Jahr 2007 drängt sich auf: Auch damals hatten sich die Banken gegen Ausfälle abgesichert, diese Versicherer kamen ins Wanken und mit ihnen alle bis dahin "gesunden" Versicherungskunden.
Was also kann man tun, um die Gefahr einzudämmen?
Zunächst: Die einzelnen Kunden können wenig unternehmen, außer auf ihre Passwörter gut zu achten. Kommt es trotzdem vor, dass Konten gehackt werden, würde es im konkreten Fall noch nicht einmal nutzen, die Bank zu wechseln, da womöglich die Konkurrenz mit dem gleichen Anbieter zusammenarbeitet.
Der Ball liegt also bei der Aufsicht. Sie muss sicherstellen, dass die Banken nicht nur Angriffe, sondern auch Bedrohungen umgehend melden, damit die Aufsicht den Überblick behalten kann. Zwar gibt es eine Vielzahl von Meldepflichten, die meisten davon betreffen aber nur Großbanken. Der vorliegende Fall macht klar, dass auch eine Bündelung von Angriffen auf kleine Banken relevant sein kann. Freiwilligkeit hilft hier übrigens nicht weiter: Unternehmen haben keinen Anreiz, solche Attacken zu melden, da sie ihre Reputation beschädigen könnten. Wie jüngst der Fall des Fahrtenanbieters Uber gezeigt hat, werden solche Vorfälle allzugern unter den Teppich gekehrt.
Nachdenken sollte die Politik auch darüber, ob bei der Konzentration der Datensicherheitsanbieter und bei den Anbietern für Cyberpolicen noch schärfere Regeln gelten sollten. Ein strengeres Kartellrecht könnte hier frühzeitig die Ballung von Risiken eindämmen. Die größte Herausforderung aber ist wohl, dass sich Aufsicht und Banken an ständig neue Formen der Kriminalität anpassen müssen. Und das ist nicht nur eine Frage des Geldes, es ist auch eine Frage der Kultur.